Тактика защиты и нападения на Web-приложения

Александр Шитик
Александр Шитик

Пишу свои посты и книги, делаю обзоры на фильмы и книги. Эксперт в области космологии и астрономии, IT, продуктивности и планирования.

Тактика защиты и нападения на Web-приложения
Марсель Низамутдинов
Жанры: Программирование
Год издания: 2005
Год прочтения: 2020
Моя оценка: Хорошая
Количество прочтений: 1
Количество страниц: 427
Конспект (страниц): 0
Первоначальный язык издания: Русский
Переводы на другие языки: Переводы на другие языки не найдены

Я часто делаю разборы книг в виде краткого пересказа изложенного. Эту же книгу попробую разобрать немного в другом формате: детально опишу её особенности, преимущества и недостатки (на мой взгляд) сразу, без пересказа содержания.

Особенности

  1. Книга с уклоном на PHP на backend (большинство примеров именно на этом языке) и JS на frontend.
  2. Книга скорее для новичка в тематике безопасности (уровня junior, middle).
  3. Как вы уже могли понять по названию, книга заточена под web (так что неудивительно, что большой уклон в PHP и JS).
  4. Из перечисленных тем разобраны:
    • Уязвимости в скриптах, а именно:
      • Ошибки при различных методах передачи данных.
      • Уязвимости в PHP-скриптах.
      • Специфичные ошибки в Perl-скриптах.
      • Ошибки, не связанные с конкретным языком программирования.
    • SQL-инъекции.
    • Авторизация и аутентификация.
    • XSS и похищенные cookie.
    • Влияние конфигурации языка программирования на безопасность.
    • Особенности работы на хостинге.

Плюсы

  1. Есть практический материал.
  2. Краткая вводная часть.
  3. Выдерживается последовательность глав.
  4. При покупке книги она заявлена с компакт-диском.
  5. На протяжении всей книги проскакивают советы и разбираются плохие и хорошие практики написания кода.

Минусы

  1. Книга большая (более 400 страниц).
  2. Разобраны всего несколько примеров атак, и книгу нельзя считать настольным учебником по безопасности даже в вебе, не говоря уже в целом. Многие темы не разобраны вообще (например, работа с веб-сервером упоминается бегло, нет упоминаний о работе с фреймворками или низкоуровневыми языками программирования — например, ошибка переполнения памяти, — практически не разобраны DDoS-атаки).
  3. Издание книги, которое попалось мне в руки, было 2005 года. Вообще говоря, я бы не назвал это большим минусом (по сравнению с предыдущим пунктом), так как те проблемы, что перечислены в книге, более чем актуальны и по сей день.

Заключение

Если вы не являетесь опытным senior-разработчиком, то я бы рекомендовал к прочтению эту книгу, ибо вы точно найдёте в ней немало полезного для себя. В противном же случае лучше почитать другие книги (в том числе на одну из таких книг я собираюсь сделать обзор в ближайшее время — так что следите за разбором книг).

Вверх